Do UODO wpłynęło pismo od Państwowego Powiatowego Inspektora Sanitarnego w Gnieźnie z informacją o publicznym ujawnieniu listy zawierającej adresy zamieszkania osób, które są na kwarantannie orzeczonej decyzją administracyjną gnieźnieńskiego sanepidu, a także dane adresowe osób odbywających izolację domową w związku ze stwierdzonym zakażeniem koronawirusa SARS-CoV-2.

Urząd zważył, że informacje dotyczące: nazwy miejscowości, nazwy ulicy, numeru budynku/lokalu, poddania osoby kwarantannie medycznej, stanowią dane osobowe w rozumieniu przepisów RODO, a fakt pozostawania osób na kwarantannie stanowi dane osobowe szczególnej kategorii, dotyczące zdrowia.

"Na podstawie powyższych danych osobowych jest możliwa identyfikacja osób, których one dotyczą, a zatem administrator podlega obowiązkom wynikającym z RODO" - wyjaśnia UODO w komunikacie. "UODO zważył również, że do naruszenia poufności przetwarzanych danych doszło w toku wykonywania obowiązków pracowniczych osoby odpowiedzialnej za nadzór nad wydrukowanym, pozostawionym na biurku bez należytego nadzoru wykazem. W tym czasie inny pracownik utrwalił wykaz w postaci zdjęcia i udostępnił innej osobie" - wskazuje.

W ocenie UODO, w analizie ryzyka, administrator danych osobowych w spółce powinien uwzględnić zarówno szczególny charakter przetwarzanych danych, jak i czynnik ludzki, tj. m.in. lekkomyślność, niedbalstwo, czy brak należytej staranności, który jest jednym ze źródeł ryzyka w procesie przetwarzania danych osobowych.

Jak przypomina Urząd, art. 33 ust. 1 RODO stanowi, że w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki - w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Spółka miała obowiązek zgłoszenia zaistniałego naruszenia Prezesowi UODO, czego jednak nie uczyniła.

Co więcej, w sytuacji wysokiego ryzyka dla praw lub wolności osób fizycznych wynikających z naruszenia ochrony danych osobowych, administrator jest zobowiązany bez zbędnej zwłoki zawiadomić osobę, której dane dotyczą, o naruszeniu. Administrator zawiadamia indywidualnie osoby o naruszeniu ich danych, chyba że wymagałoby to niewspółmiernie dużego wysiłku. W takim przypadku administrator wydaje publiczny komunikat lub stosuje podobny środek, aby w równie skuteczny sposób poinformować osoby, których dane dotyczą.

"Ujawnienie nieuprawnionym odbiorcom danych osobowych dotyczących adresów zamieszkania oraz danych dotyczących stanu zdrowia bezsprzecznie skutkowało wysokim ryzykiem naruszenia praw lub wolności osób objętych kwarantanną medyczną" - ocenia UODO. Mimo to Spółka nie zawiadomiła osób, których dane dotyczą, o naruszeniu ochrony danych osobowych.

W związku z takimi ustaleniami Prezes UODO, stwierdzając naruszenie przepisów ogólnego rozporządzenia o ochronie danych osobowych, udzielił spółce upomnienia oraz nakazał zawiadomienie osób, których dane dotyczą, o naruszeniu ochrony danych osobowych.

Za okoliczności mające charakter łagodzący dla ostatecznego rozstrzygnięcia, ale nie mające wpływu na jego treść, UODO uznał podjęcie przez spółkę działań dyscyplinujących wobec pracowników, którzy przyczynili się swoimi działaniami do zaistnienia naruszenia oraz fakt, że mimo trudnej sytuacji epidemiologicznej administrator zobowiązał się do przeprowadzenia szkoleń z ochrony danych osobowych dla swoich pracowników.

aba/